Microsoft hat eine Schwachstelle in TikTok gefunden, die Kontoabstimmungen mit einem Klick ermöglicht

Microsoft hat eine Schwachstelle in TikTok gefunden, die Kontoabstimmungen mit einem Klick ermöglicht

Getty Images

Microsoft sagte am Mittwoch, dass es kürzlich eine Schwachstelle in der Android-App von TikTok identifiziert habe, die es Angreifern ermöglichen könnte, Konten zu hijacken, wenn Benutzer nur auf einen einzigen falschen Link klicken. Der Softwarehersteller sagte, er habe TikTok im Februar über die Schwachstelle informiert und dass das in China ansässige Social-Media-Unternehmen den Fehler, der als CVE-2022-28799 verfolgt wird, inzwischen behoben habe.

Die Schwachstelle liegt darin, wie die App nach sogenannten Deep Links sucht, das sind Android-spezifische Hyperlinks, um auf einzelne Komponenten innerhalb einer mobilen Anwendung zuzugreifen. Für die Verwendung außerhalb der App müssen Deeplinks im App-Manifest deklariert werden, damit beispielsweise eine Person, die im Browser auf einen TikTok-Link klickt, automatisch den Inhalt in der TikTok-App öffnet.

Die App kann auch kryptisch die Gültigkeit einer URL-Domain verkünden. TikTok auf Android bewirbt beispielsweise die Domain m.tiktok.com. Normalerweise lässt TikTok zu, dass Inhalte von tiktok.com in seine WebView-Komponente geladen werden, verhindert aber, dass WebView Inhalte von anderen Domains lädt.

„Die Schwachstelle ermöglichte es, die Deep-Link-Verifizierung der Anwendung zu umgehen“, schreiben die Forscher. „Angreifer können die Anwendung zwingen, eine zufällige URL in die WebView der Anwendung zu laden, wodurch die URL dann auf JavaScript-Brücken zugreifen kann, die an die WebView angehängt sind, und den Angreifern Funktionalität gewährt.“

Die Forscher fuhren fort, einen Proof-of-Concept-Exploit zu erstellen, der genau das tat. Dabei wurde ein bösartiger Link an einen gezielten TikTok-Benutzer gesendet, der beim Anklicken die Authentifizierungscodes erhielt, die TikTok-Server benötigen, damit Benutzer den Besitz ihres Kontos bestätigen können. Der PoC-Linker hat auch die Biografie des Profils des Zielbenutzers geändert, um den Text „!! SICHERHEITSVERLETZUNG!!“

Siehe auch  Capcoms Ghost Trick: Phantom Detective-Remaster hat jetzt eine Demo

Sobald der gezielte TikTok-Benutzer auf den speziell für den Angreifer entworfenen schädlichen Link geklickt hat, wird der Server des Angreifers, https://www.attacker[.]com/poc, erhält vollen Zugriff auf die JavaScript-Brücke und kann jede exponierte Funktion aufrufen“, schrieben die Forscher. Der Server des Angreifers rendert eine HTML-Seite mit JavaScript-Code, um die Video-Upload-Codes an den Angreifer zu senden und seine Biografie zu ändern.“

Microsoft sagte, es habe keine Beweise dafür, dass die Schwachstelle aktiv in freier Wildbahn ausgenutzt wurde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert